Primeiramente, certifique-se de desativar todas as portas de rede que não precisam ser usadas.
E agora, em outra alternativa que não funcionará para você, mas para as pessoas pensarem a respeito. A impressão digital do sistema operacional passivo pode funcionar para alguém que queira uma solução para esse problema, mas talvez queira bloquear usuários que não sejam do Windows ou ter uma LAN de computadores MAC e que deseje bloquear qualquer outra coisa.
Vou lançá-lo lá como uma possível solução que pode ser adequada para algumas situações. Eu ainda acho que algo como 802.1X é uma opção mais robusta.
Não funciona porque, até onde posso dizer, você não pode filtrar com osf com o Windows: xp ou algo assim ... ou pode? Eu não posso dizer sem tentar.
Mas suponha que você queira apenas permitir máquinas com Windows.
1) Crie uma ponte linux.
link
2) Carregue o módulo passivo de impressão digital e use regras como:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre
Windows --ttl 0 -j ACCEPT
Leia mais: Como bloquear / permitir pacotes enviados por Sistema Operacional específico com o iptables?
Esta máquina de bridge é inserida entre sua rede e o roteador. Se você já tem um roteador Linux na rede que você usa como seu firewall / gateway, você pode simplesmente adicionar as regras do módulo osf ao iptables.
Infelizmente, como a impressão digital do sistema operacional é baseada em como um sistema operacional define o TTL inicial, o tamanho da janela e alguns outros bits e peças nos pacotes TCP SYN, ele só funciona com o TCP. Além disso, pode ser derrotado. Então não é totalmente seguro.